Einführung Eines ISMS Nach ISO 27001 - Uw-s PDF Free Download

2y ago

65 Views

1 Downloads

2.53 MB

33 Pages

Report/dmca

Download PDF

Transcription

Einführung eines ISMSnach ISO 27001Kai Wittenburg,Geschäftsführer/CEO, ISO27001-Auditor (BSI)

Was ist Informationssicherheit?§ Vorhandensein von– Integrität– Vertraulichkeit und– Verfügbarkeitin einem geplanten Ausmaß.17.10.112

DIE BedrohungWichtigste langfristige Bedrohungsquelle:Mitarbeiter („HumanOS“)§ § § § § „Schwächstes Glied“ in der SicherheitsketteFehlende Sicherheitskenntnisse/ SchulungenFehlende umfassende personelle KonzepteLeichte Opfer für Social EngineeringOft zu weit reichendeBerechtigungen17.10.113

Sensibilisierung: Tür17.10.114

Sensibilisierung17.10.115

ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementModel for establishing, implementing,operating, monitoring, reviewing,maintaining and improving anInformation Security Management SystemBS7799-217.10.116

ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeSet of controls, including policies, processes,procedures, organizational structures,software/ hardware functionsBS7799-117.10.117

ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceInstructions how to [technically]implement ISO 2700117.10.118

ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceISO 27004Metrics and MeasurementsDefinition of KPIs, quantitative/qualitative measurements, metrics etc.17.10.119

ISO 2700x ISMS StandardsISO 27000 Terms and DefinitionsISO 27001Information Security Management SystemISO 27005RiskManagementISO 27002Code of PracticeISO 27003Implementation GuidanceISO 27004Metrics and MeasurementsISO 27015 Accreditation Guidelines17.10.1110

Sicherheit als Prozess (PDCA)Der SicherheitsprozessInitiierung des Sicherheitsprozesses:- Erstellen einer ISMS Policy- Einrichten eines IT-SicherheitsmanagementsIT-Sicherheitskonzept: Identifikation von ControlsUmsetzung:Realisierung fehlender Controls (Kontrollmechanismen)insbes. in den esondere§ Sensibilisierung für IT-Sicherheit-Technik§ Schulung zur terhaltung im laufenden Betrieb17.10.1111

Sensibilisierung: SchrankeBielefeld17.10.1112

5 Schritte zum ISMS1. Schritt Managementunterstützung für ISMS Einführung undAufbau2. Schritt Festlegung des Geltungsbereichs Festlegung der Sicherheitsleitlinie (ISMS Policy)3. Schritt4. Schritt5. Schritt17.10.11 Organisationsanalyse Risikoanalyse Identifikation von Kontrollmechanismen und Maßnahmen (Aus-)Gestaltung des ISMS13

Initiierung des ITSicherheitsprozesses§ GrundregelnVerantwortung desManagements– Die Initiative für ITSicherheit geht vomManagement aus.– Die Verantwortung für ITSicherheit liegt beimManagement.Einrichten desIT-Sicherheitsmanagements– Nur wenn sich dasManagement um ITSicherheit bemüht, wird dieAufgabe "IT-Sicherheit"wahrgenommen.– Vorbildfunktion17.10.1114

Netzplan17.10.1117

Netzplan - bereinigt17.10.1118

Grundschutzkataloge§ Bausteinbeschreibung§ Darstellung der Gefährdungslage§ anung und KonzeptionBeschaffung (sofern erforderlich)UmsetzungBetriebAussonderung (sofern erforderlich)Notfallvorsorge19

GrundschutzkatalogeWWWIT- GrundschutzkatalogeN-27.3 FirewallTK-1N-17.11 Router/SwitchesC-18.6 Mobiltelefon 5.7 Win2K Client17.10.11S-16.9 Win2K ServerC-25.3 Tragbarer PC20

Basis-SicherheitscheckServer AIT- ‐GrundschutzmodellServer CServer ngRouter A2 efizitäreMaßnahmen17.10.1121

SchutzbedarfsfeststellungDefinition derSchutzbedarfskategorien§ Definitionen der Kategorien müssenindividuell angepasst werden§ Normal– Schadensauswirkungen sind begrenzt undüberschaubar.§ Hoch– Schadensauswirkungen können beträchtlichsein.§ Sehr hoch– Schadensauswirkungenkönnen ein existentiellbedrohliches, katastrophalesAusmaß erreichen.Rechtliches, Datenschutz, Marketing, Finanzen,Gesundheit. Vertraulichkeit, Integrität, Verfügbarkeit17.10.1123

iveausehr hochhochnormalIT-GrundschutzProzess 117.10.11Prozess 2Prozess 324

Höherer hkeit17.10.1125

Höherer beseitigung planenHöchste PrioritätAkzeptieren chkeit17.10.1126

Abgestufte RisikobewältigungGesamtrisikoRestrisiko17.10.1127

Sicherheit als Prozess (PDCA)Der SicherheitsprozessInitiierung des Sicherheitsprozesses:-Erstellen einer ISMS Policy-Einrichten eines IT-SicherheitsmanagementsIT-Sicherheitskonzept: Identifikation von ControlsUmsetzung:Realisierung fehlender Controls (Kontrollmechanismen)insbes. in den esondere§ Sensibilisierung für IT-Sicherheit-Technik§ Schulung zur terhaltung im laufenden Betrieb17.10.1129

NotfallvorsorgeInitiierung desNotfallmanagementsErstellung einesNotfallvorsorgekonzeptsAufrechterhaltung undkontinuierlicheVerbesserungUmsetzung desNotfallvorsorgekonzeptsTests und Übungen,Notfallbewältigung17.10.1130

Finanzinstitute8 StundenColdStand-ByHardware1 TagDienstleister- VerträgeCold-Stand-By RZSchaden fürKMUHot-Stand-By RZSchadenshöhe / KostenNotfallvorsorge2 TageHandlung nachNotfallplan4 Tage1 Woche1 MonatZeit4 Stunden1 Minute17.10.1131

RisikobewältigungGesamtrisikoRestrisiko17.10.1132

neam IT-Services GmbHStand C11Technologiepark 21D-33100 Paderborn 49 5251 1652-0 49 5251 1652-444http://www.neam.deinfo@neam.de17.10.1133

ISO 27002 Code of Practice Set of controls, including policies, processes, procedures, organizational structures, software/ hardware functions BS7799-1 . 17.10.11 8 ISO 2700x ISMS Standards ISO 27000 Terms and Definitions ISO 27005 Risk Management ISO 27001 Information Security Management System ISO 27002 Code of Practice ISO 27003 Implementation Guidance Instructions how to